Белый хакер Cyber Security🧑🏻‍💻

👨‍💻 Как Resecurity взломала хакеров Привет, обычно мы слышим, как хакеры ломают компании, крадут данные и требуют выкуп. Но на этот раз все пошло наоборот: специалисты по безопасности взломали самих хакеров.

👤 Resecurity нашла уязвимость в onion-сайте группировки BlackLock — банальная ошибка в настройках позволила выявить реальные IP-адреса хакеров. Дальше — больше: эксплуатация LFI-уязвимости (Local File Include), доступ к конфигурациям сервера и учетным записям. Пока BlackLock пугали жертв утечками, исследователи тихонько изучали их инфраструктуру и передавали данные спецслужбам.

❕ Но самое забавное — хакеры использовали файлообменник Mega для кражи данных. Исследователи нашли учетные записи, доступ к ним и смогли мониторить действия группировки. В какой-то момент BlackLock даже использовали Mega для резервных копий, а некоторые жертвы и вовсе обнаружили клиент Mega на своих серверах. 💻 Сайты BlackLock и Mamona (еще одной группировки) удалены. Учитывая, что лидеры BlackLock могли перейти в DragonForce, история еще не закончена, но эта победа показывает, что ошибаются даже те, кто живет за счет ошибок других. P. S Оказывается, фраза «безопасность начинается с настроек» работает не только для компаний, но и для киберпреступников. Просто им за косяки прилетает быстрее. #Resecurity #BlackLock 👍 Белый хакер

😈ТОП 3 канала для тех, кто увлекается хакингом и ИБ: Этичный Хакер — крупнейший в СНГ канал по информационной безопасности. Архив Безопасника — полезные github-инструменты для пентеста, сетевой разведки, xss, криптографии. Не хакинг, а ИБ — канал для хакеров, которые не хотят попасть за решетку. OSINT, CTF, пентест, социальная инженерия.

🔔 Уязвимость в CrushFTP Привет, если у тебя где-то крутится CrushFTP, срочно проверь, какая там версия. Разработчики предупредили о критической дыре (CVE-2025-2825), которая позволяет злоумышленникам неавторизованно залетать на сервер через открытый HTTP(S)-порт. А теперь угадай, сколько таких серверов торчит в сети? 36 000, и 3400 из них — с уязвимым веб-интерфейсом. ⚙️ Официально проблема касается CrushFTP v11, но эксперты из Rapid7 нашли её и в v10. Если не можешь прямо сейчас накатить 10.8.4+ или 11.3.1+, включай DMZ, это хоть как-то смягчит ситуацию.

👨‍💻 Кстати, это не первая такая история. В 2024 году в CrushFTP уже находили 0-day (CVE-2024-4040), через который атаковали серверы американских организаций. Так что лучше не тянуть и закрыть дыру, пока кто-то не закрыл твой сервер, но уже не по доброй воле.

P. S Когда сервера стоят под открытым HTTP(S), это как будто ты повесил табличку «Проходи, у нас вкусные куки». А потом удивляешься, почему их украли. #Инфобез #CrushFTP 👍 Белый хакер

🗣 Даже Трои падают Привет, если ты думаешь, что профи в кибербезопасности не попадаются на фишинг, у меня для тебя новости. Трой Хант, создатель Have I Been Pwned, региональный директор Microsoft и автор курсов по защите данных, сам стал жертвой банального фишинга. 🔴 Все началось с письма от «Mailchimp» о приостановке его рассылки. Он перешел по ссылке, ввел логин и пароль, прошел 2FA — и зависшая страница его насторожила. Поздно. Данные уже улетели злоумышленникам, которые скачали базу на 16627 пользователей (включая 7535 уже отписавшихся адресов, потому что Mailchimp их почему-то хранит).

👨‍💻 Трой проанализировал ситуацию и понял, что попался из-за усталости и того, что в Outlook на iPhone не увидел реальный email отправителя. Потом, уже на ПК, он не стал перепроверять адрес. Сайт выглядел достоверно, а менеджер паролей 1Password не подставил данные, но он решил, что просто «глюк». В итоге злоумышленники использовали учетку для получения API-токена и выгрузили данные.

🔐 Даже топовые эксперты ошибаются, особенно если устали и не проверили отправителя письма. Фишинг работает на психологию, и чем больше факторов складывается в пользу атаки, тем выше шанс, что ты поведешься. P. S Когда даже автор Have I Been Pwned? становится «pwned», это прямой намек всем нам еще раз проверить, что за письма мы открываем и куда вводим свои данные. #Фишинг #Haveibeenpwned 👍 Белый хакер

🛡 Как защититься от zero-day в WebKit? Автоматизируем с Ринго Привет всем! Apple опять латает дыры, на этот раз срочный фикс для zero-day уязвимости CVE-2025-24201 в WebKit. Проблема серьёзная: эксплойт позволяет вырваться за пределы «песочницы» и атаковать iPhone, iPad, Mac и даже Apple Vision Pro. Причём злоумышленники уже использовали эту дыру в атаках против узкотаргетированных жертв. 👤 Если ты отвечаешь за безопасность в компании, вручную отслеживать такие вещи — задача невыполнимая. Вот тут и приходит на помощь Ринго MDM, который умеет автоматически находить уязвимые устройства и обновлять их без ручного вмешательства.

⚙️ Как это работает? ⏺ Выявление уязвимых устройств — создаёшь смарт-группу, куда автоматически попадут гаджеты с проблемной версией iOS/macOS. ⏺ Автообновление — задаёшь политику обновления, и устройства сами подтягивают актуальные патчи. ⏺ Мониторинг на будущее — если кто-то решит откатиться на уязвимую версию, Ринго мгновенно это засечёт и снова обновит систему.

🔔 Оперативная реакция на zero-day — не просто роскошь, а необходимость. Уязвимые устройства в корпоративной сети — как открытая дверь в офис, куда может зайти кто угодно. Автоматизация закрывает её быстрее, чем злоумышленники успевают воспользоваться уязвимостью. P. S Если ты до сих пор обновляешь устройства вручную — знай, что где-то в мире уже смеётся один админ, который давно пользуется MDM! #Кибербезопасность #Apple 👍 Белый хакер

🔔 IngressNightmare: Kubernetes снова под ударом Привет, если ты работаешь с Kubernetes и используешь ingress-nginx, пора обратить внимание на уязвимости, которым уже присвоили красивое кодовое имя — IngressNightmare. Это четыре критические дыры (9.8 из 10 по CVSS), которые позволяют атакующему выполнить произвольный код на сервере и получить полный доступ к кластеру. Под ударом — около 43% облачных окружений. ⚙️ Всё завязано на проблемах в web-обработчике Admission, который по умолчанию принимает запросы без аутентификации. Достаточно отправить специально подготовленный ingress-объект, и можно подменить конфиг NGINX, а затем загрузить свою библиотеку, получив контроль над системой. Например, через параметр auth-url можно внедрить свои настройки:

    
        set $target http://example.com/#;\nнастройки;{}
    

👨‍💻 На сервере создаётся временный файл, который nginx сохраняет перед удалением. Но в файловой системе /proc дескриптор остаётся доступным, и это позволяет загружать свои библиотеки через директиву ssl_engine. Если у тебя ingress-nginx версий до 1.11.5 и 1.12.1, срочно обновляйся. Или хотя бы отключи Validating Admission Controller, чтобы уменьшить риски.

P. S Если твой кластер всё ещё открыт наружу, хакеры, скорее всего, уже начали сканировать его. Вопрос только в том, насколько быстро они туда доберутся. #Kubernetes #Безопасность 👍 Белый хакер

📣 Хакеры любят SQL-инъекции — это один из самых старых, но всё ещё опасных методов атак. Всего пара лишних кавычек может открыть доступ к миллионам записей. Подробнее в карточках. 🔴Разобраться в SQL-инъекциях можно на курсе «SQL-Injection Master». Запись до 30 марта. Регистрация здесь.

💻 Критическая уязвимость в Veeam Привет, если ты используешь Veeam Backup & Replication версии 12 и твой сервер в домене, то у меня для тебя плохие новости: уязвимость CVE-2025-23120 позволяет удаленно выполнить код. И это не просто баг, а серьезная дыра, получившая 9,9 балла из 10 по CVSS.

👨‍💻 Все завязано на ошибке десериализации в .NET-классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary. Разработчики уже пытались закрыть аналогичную дыру в прошлом году, добавив черный список опасных классов. Но исследователи нашли новый обходной путь через другую цепочку гаджетов. В результате любой пользователь домена мог запустить вредоносный код.

🛡 Проблема уже закрыта в версии 12.3.1 (build 12.3.1.1139), так что обновляться надо как можно быстрее. Тем более, что Veeam давно стала лакомым кусочком для хакеров — они взламывают бэкапы, шифруют данные и делают восстановление почти невозможным. P. S Если твой Veeam сидит в домене и ты до сих пор не обновился — то, возможно, кто-то уже смотрит твои резервные копии вместо тебя. #Veeam #Уязвимость 👍 Белый хакер

Привет, друзья!  Хотите узнать, как компании строят отказоустойчивые системы, автоматизируют процессы и внедряют DevOps-культуру без боли? Тогда вам на DevOpsConf 2025 – крупнейшую конференцию о DevOps и SRE в России!  В программе юбилейной 10ой DevOpsConf: Лучшие практики управления в DevOps, Reliability Engineering, Системное и сетевое администрирование, IT-безопасность,  Технологическая независимость, MLOps и Data Engineering, DevOps практики и культура,  Platform Engineering: строительство платформ крупными компаниями, Наблюдаемость и Operational intelligence,  Chaos engineering,  CTO/CIO трек, Org Engineering, Тренды 2025: обзор новых фич и утилит.  Не пропустите доклады от лучших спикеров мира DevOps: Антон ЧерноусовYandex CloudInfrastructure from Code.Следующий этапразвития IaC  Даниил Кошелев (Т-Банк) «Постигая реестры Docker-контейнеров: от архитектуры до безопасности» Данила Гудынин (Cloud.ru) «vGPU в K8s — как перестать считать видеокарты для контейнеров»  Полный список докладов и тем уже доступен на сайте: https://tglink.io/92aed9e2193a Количество билетов ограничено – регистрируйся сейчас и будьте в центре DevOps-мира! #реклама О рекламодателе

📱 Cloudflare окончательно прощается с HTTP Привет, если твой код все еще отправляет API-запросы на api.cloudflare.com по HTTP, у меня для тебя плохие новости. Cloudflare навсегда закрыл HTTP-доступ, и теперь работает только через HTTPS. То есть даже редиректа на защищенное соединение больше не будет — просто отказ в соединении. ⚙️ Если запрос передается по HTTP, то в нем могут утечь токены API и другая конфиденциальная инфа. Раньше такие запросы перенаправляли или блокировали с 403 Forbidden, но и этого оказалось недостаточно. Теперь даже случайно отправленный HTTP-запрос не пройдет — шансов «пропалить» данные больше нет.

👨‍💻 Изменение затронуло всех, кто еще использовал HTTP для API Cloudflare. Если у тебя есть старые скрипты, IoT-устройства или другие системы, работающие через HTTP, пора их обновлять. Кстати, компания планирует ввести аналогичную фичу для всех веб-ресурсов пользователей к концу 2025 года. Так что HTTPS — не просто «рекомендация», а единственно возможный вариант.

P. S В 2025 году отказ от HTTP — не просто тренд, а реальная необходимость. Если в коде еще остались http://, лучше найди их сейчас, пока система работает. #Cloudflare #API 👍 Белый хакер